1. Setiap Orang yang dengan tanpa hak melakukan pelanggaran hak ekonomi
sebagaimana dimaksud dalam pasal 9 ayat (1) huruf i untuk Penggunaan
Secara Komersial dipidana dengan pidana penjara paling lama 1 (satu)
tahun dan/atau pidana denda paling banyak Rp.100.000.000 (serratus juta
rupiah).
2. Setiap Orang yang dengan tanpa hak dan/atau tanpa izin Pencipta atau
pemegang Hak Cipta melakukan pelanggaran hak ekonomi Pencipta
sebagaimana dimaksud dalam Pasal 9 ayat (1) huruf c, huruf d, huruf f,
dan/atau huruf h untuk Penggunaan Secara Komersial dipidana dengan
pidana penjara paling lama 3 (tiga) tahun dan/atau pidana denda paling
banyak Rp500.000.000,00 (lima ratus juta rupiah).
3. Setiap Orang yang dengan tanpa hak dan/atau tanpa izin Pencipta atau
pemegang Hak Cipta melakukan pelanggaran hak ekonomi Pencipta
sebagaimana dimaksud dalam Pasal 9 ayat (1) huruf a, huruf b, huruf e,
dan/atau huruf g untuk Penggunaan Secara Komersial dipidana dengan
pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling
banyak Rp1.000.000.000,00 (satu miliar rupiah).
4. Setiap Orang yang memenuhi unsur sebagaimana dimaksud pada ayat (3)
yang dilakukan dalam bentuk pembajakan, dipidana dengan pidana penjara
paling lama 10 (sepuluh) tahun dan/atau pidana denda paling banyak
Rp4.000.000.000,00 (empat miliar rupiah).
Manajemen Risiko
Berbasis SNI ISO 31000
Charles R. Vorst
D.S. Priyarsono
Arif Budiman
ISBN : 978-602-9394-21-4
Penerbit:
Badan Standardisasi Nasional
Gedung 420, Kompleks PUSPIPTEK
Setu, Tangerang Selatan 15343
SAMBUTAN
Puji dan syukur kami panjatkan ke hadirat Tuhan yang Maha Esa,
karena atas anugerah dan rahmat-Nya, Badan Standardisasi Nasional (BSN)
bekerjasama dengan Komite Teknis 03-10, Manajemen Risiko, dapat
merampungkan buku “Manajemen Risiko berbasis SNI ISO 31000” yang dapat
digunakan sebagai salah satu referensi untuk pendidikan, khususnya
pendidikan standardisasi.
vi I
SEKAPUR SIRIH
Susunan isi buku disajikan dalam urutan yang sangat apik dan
sistematis mulai dari hal mendasar tentang pengertian ketidakpastian, risiko,
masalah, krisis, dan bencana, sampai dengan ilustrasi penerapannya dalam
berbagai konteks. Oleh karena itu, buku ini dapat dijadikan salah satu rujukan
pembelajaran tentang manajemen risiko di perguruan tinggi terutama di
tingkat sarjana atau yang setara sehingga pengetahuan dan kompetensi
mereka sejalan dengan kebutuhan industri pengguna.
Selain itu, buku ini dapat juga dipergunakan oleh para praktisi dengan
latar belakang industri dan lingkungan yang berbeda-beda, baik sebagai
rujukan awal, maupun sebagai rujukan umum dalam pengembangan
penerapannya yang spesifik dan unik.
Sebagai akhir kata, adalah suatu berkah bagi kita semua bahwa para
penulis yang merupakan anggota Komite Teknis 03-10 Manajemen Risiko
Badan Standardisasi Nasional (BSN) telah menghasilkan buku perdana ini.
Besar harapan kita semua agar ada buku susulan dari para penulis sehingga
masyarakat pembelajar dapat terbantu untuk terus berkembang menjadi
manusia unggulan yang dapat berkontribusi optimal bagi kesinambungan
peradaban manusia.
viii I
KATA PENGANTAR
“When models turn on, brains turn off.” – Dr. Till Schuermenn, periset &
akademisi.
“Risk management is about people and processes and not about models and
technology.” – Trevor Levine, konsultan.
“Business people need to understand the psychology of risk more than the
mathematics of risk.” – Paul Gibbons, pengusaha.
Salam,
Tim penulis.
xI
DAFTAR ISI
SAMBUTAN ........................................................................................................ v
SEKAPUR SIRIH ................................................................................................ vii
KATA PENGANTAR ........................................................................................... ix
DAFTAR ISI......................................................................................................... xi
DAFTAR GAMBAR ........................................................................................... xiii
DAFTAR TABEL ................................................................................................ xv
xii I
DAFTAR GAMBAR
xiv |
DAFTAR TABEL
Tabel 4.1 Contoh Matriks RACI dalam suatu aktivitas identifikasi risiko ........ 94
Tabel 4.2 Contoh rencana komunikasi dan konsultasi pada suatu rangkaian
aktivitas .......................................................................................... 96
Tabel 4.10 Contoh kriteria risiko untuk kemungkinan risiko ........................ 118
Tabel 4.12 Contoh kriteria risiko untuk dampak finansial risiko ................... 119
Tabel 4.13 Contoh kriteria risiko untuk dampak operasional risiko .............. 120
Tabel 4.14 Contoh kriteria risiko untuk dampak K3 risiko ............................ 120
Tabel 4.15 Contoh kriteria risiko untuk dampak reputasi ............................. 120
Tabel 5.1 Penerapan alat bantu yang digunakan untuk penilaian risiko ....... 133
Tabel 5.7 Probabilitas pembelian bensin pada bulan ketiga ........................ 175
Tabel 5.10 Kotak Bayes kasus bola yang sudah dilengkapi .......................... 179
Tabel 5.11 Deskripsi hipotesis dan distribusi probabilitas awalnya .............. 181
xvi |
BAB 1
MANAJEMEN RISIKO – PENGANTAR
1
Dikembangkan dari Risk Management: History, Definition and Critique, Goerge
Dionee, 2013.
Era sebelum tahun 1970
2
Sumber: http://www.aria.org
3
Sumber: https://www.rims.org
g. Tahun 1988 – terbit Basel I Accord yang dirilis oleh Komite Basel
(Basel Committee on Banking Supervision) di Basel, Swiss. Adapun
Komite Basel pertama kali dibentuk oleh gubernur bank sentral
dari negara-negara yang tergabung dalam G10 dan hingga kini
berkantor pusat di Bank for International Settlement (BIS) di Basel.
Secara khusus, Basel Iini berisikan kebijakan mengenai persyaratan
minimum modal terhadap eksposur risiko kredit, yang kemudian
pada tahun 1996 ditambahkan dengan eksposur risiko pasar, yang
harus dipenuhi oleh seluruh bank yang aktif dalam settlement
internasional pada akhir tahun 1992.
4
Sumber: https://www.genevaassociation.org
i. Tahun 1992 – terbit Risk Metrics model, serta Credit Metrics model
pada tahun 1997, yang dirilis oleh JP Morgan, sebuah bank
komersial dan investasi berbasis di Amerika Serikat yang kemudian
berganti nama menjadi JPMorgan Chase & Co. pada tahun 2000
setelah melakukan merger dengan Chase Manhattan Bank. Adapun
Risk Metrics merupakan sebuah metodologi untuk melakukan
penilaian terhadap eksposur risiko pasar, dan Credit Metrics bagi
eksposur risiko kredit, sebuah bank. Publikasi mengenai Risk
Metrics ini selanjutnya mendorong meluasnya penggunaan model
perhitungan Value-at-Risk (VaR) di berbagai kalangan dalam
menghitung kerugian maksimal dari suatu portofolio yang dimiliki
sebuah perusahaan di mana model VaR ini kemudian diterapkan
dalam Basel II dan Basel III untuk menghitung kebutuhan modal
sebuah bank.
Tahun 2000-an
s. Tahun 2010 – terbit Basel III Accord yang dirilis oleh Komite Basel.
Diterbitkan sebagai respons terhadap krisis finansial yang melanda
dunia tahun 2007-2008, Basel III ini berfokus pada penguatan
pengaturan mikro dan makroprudensial oleh pengawas perbankan,
serta standar likuiditas perbankan untuk jangka pendek dan jangka
yang lebih panjang. Adapun diharapkan keseluruhan ketentuan
Basel III ini dapat terimplementasikan secara penuh oleh
perbankan pada awal tahun 2019.
Selain itu, pihak pengelola juga harus mengeluarkan kompensasi ganti rugi
sebesar 82 juta Dollar US kepada masyarakat serta 15 juta Dollar US kepada para
orang tua yang anak-anaknya mengalami
cacat lahir.
Adapun Ebbers melakukan serangkaian akusisi dan merger di mana pada bulan
November 1997, Worldcom mencatatkan rekor merger terbesar dalam sejarah
Amerika dengan MCI Communications dengan nilai sebesar 37 milyar Dollar US
hingga terbentuk MCI Worldcom. Andaikan rencana merger selanjutnya dengan
Sprint Corporation tidak ditentang oleh Kementerian
Hukum Amerika dan Uni Eropa karena dikhawatirkan
dapat mendorong praktik bisnis monopoli, Ebbers
mungkin mencatatkan kembali rekor merger terbesar
dengan nilai 129 milyar Dollar US. Namun semenjak
pertengahan 1999 hingga Mei 2002, Ebbers MCI
Worldcom saat itu melakukan fraud dalam pencatatan
akuntansi dengan cara pencatatan biaya sebagai
capital expenditures dalam Neraca serta
penggelembungan pendapatan. Ketika
penyelidikan kasus ini usai di akhir tahun 2003, Bernard Ebbers.
(sumber: Wikipedia)
diperkirakan total aset fiktif MCI Worldcom yang
tercatat dalam pembukuan hingga mencapai 11 milyar Dollar US. Adapun
kecurangan ini dilakukan Ebbers untuk menutupi pinjaman pribadi Ebbers kepada
MCI Worldcomsebesar 366 juta Dollar US. Hutang ini digunakan Ebbers untuk
memenuhi margin calls bank terhadap jaminan hutang pribadi Ebbers bagi bisnis
pribadinya pada bank berupa saham MCI Worldcom Ebbers yang nilai pasarnya
sedang menurun.
“
oleh BSN, di mana oleh UU tersebut, SNI didefinisikan sebagai:
perkembangan masa kini dan masa depan untuk memperoleh manfaat
yang sebesar-besarnya.
achievement of the optimum degree of order in a given context.
Kerangka Kerja
Prinsip Manajemen Risiko Proses Manajemen Risiko
Manajemen Risiko
5
Diadopsi dari: SNI ISO 31000:2011
Ada dua kata penting dalam rumusan prinsip kedua tersebut, yakni
terpadu dan proses. Terpadu berarti menjadi satu dan tak terpisahkan,
sedangkan proses adalah serangkaian langkah-langkah untuk mencapai
tujuan tertentu. Dengan demikian prinsip kedua itu mengandaikan bahwa
sebuah organisasi dalam mencapai tujuannya melaksanakan serangkaian
langkah-langkah; kemudian dalam setiap langkah itu terdapat bagian yang
tak dapat dipisahkan, yakni manajemen risiko. Dengan rumusan yang lebih
sederhana, tiap langkah dalam mencapai tujuan, manajemen risiko selalu
menjadi pokok pertimbangan yang tak terpisahkan dari tiap-tiap langkah
untuk mencapai tujuan organisasi.
Prinsip ketiga ini erat berkaitan dengan prinsip kedua. Dalam prinsip
kedua terdapat kata kunci proses, sedangkan dalam prinsip kedua fokus
secara khusus diarahkan pada pengambilan keputusan. Kata kunci proses
merujuk pada kegiatan-kegiatan penetapan tujuan organisasi, perencanaan,
pengendalian, dan seterusnya seperti yang telah disinggung dalam paragraf-
paragraf terdahulu. Adapun kata kunci pengambilan keputusan dalam konteks
ini bermakna serangkaian kegiatan pengumpulan informasi, penetapan
kriteria prioritas, penguraian pilihan-pilihan (opsi-opsi, alternatif-alternatif),
dan pemilihan alternatif tindakan terbaik sebagai buah hasil dari pengambilan
keputusan.
Sebagai contoh, hari ini mulai pagi hingga sore ada pemadaman aliran
listrik dari PLN. Manfaat informasi ini sangat bergantung pada kapan kita
mengetahuinya. Bila kita mengetahuinya baru nanti pada malam hari, maka
tidak ada tindakan apa pun yang bisa kita lakukan untuk mencegah terjadinya
kerugian akibat peristiwa tersebut. Ibaratnya, nasi sudah menjadi bubur,
kulkas sepanjang hari ini tidak berfungsi, makanan yang ada di dalamnya
mungkin terlanjur rusak. Akuarium atau kolam ikan sepanjang hari ini tidak
Aset adalah sumber daya dengan nilai ekonomi yang dimiliki atau
dikendalikan oleh perusahaan, negara, atau individu dengan ekspektasi
bahwa di masa depan akan memberikan manfaat. Aset dilaporkan dalam
6
http://ekonomi.kompas.com/read/2017/01/25/190000526/akhir.2016.aset.konsolidasi.b
ank.mandiri.tembus.rp.1.000.triliun
7
https://www.cnnindonesia.com/ekonomi/20170217110543-92-194188/laba-adhi-karya-
anjlok-324-persen-sepanjang-2016/
Prinsip-Prinsip Manajemen Risiko | 35
dibandingkan dengan perolehan laba bersih tahun 2015. Berdasarkan laporan
keuangan yang dirilis hari ini, Jumat (17/2), laba bersih Adhi Karya tercatat
sebesar Rp 313,45 miliar pada 2016, lebih rendah dari tahun sebelumnya
sebesar Rp 463,68 miliar.
8
https://www.cnnindonesia.com/ekonomi/20170802175039-92-232006/dirut-pt-ibu-
tersangka-saham-tiga-pilar-melorot/
36 | Manajemen Risiko Berbasis SNI ISO 31000
per lembar. Hal itu merupakan respon spontan pelaku pasar pasca penetapan
status tersangka sekitar pukul 9.30 WIB.
Sejak anak usahanya PT Indo Beras Unggul (PT IBU) terkendala kasus,
saham PT Tiga Pilar Sejahtera Food Tbk (AISA) terus merosot. Hari ini pun
saham AISA sempat anjlok hingga autoreject bawah, namun bisa kembali
rebound. Menurut pemantauan detikFinance, Senin (24/7/2017), saham AISA
pagi tadi dibuka langsung anjlok 24,89% dari Rp 1.205 ke level Rp 905. Saham
AISA langsung kena autoreject, atau mencapai batas paling bawah dalam
sehari. Namun sekitar pukul 9.50 waktu JATS, saham AISA ke Rp 950. Setelah
itu saham AISA langsung melambung, bahkan sekitar pukul 10.45 waktu JATS
sempat kembali ke level Rp 1.205. Kini saham AISA saat jeda sesi 1 bertengger
di level Rp 1.145. Level itu turun 60 poin atau 4,98% dari level pembukaan awal
Rp 1.205.
9
https://swa.co.id/swa/my-article/raih-kembali-reputasi-perusahaan-dengan-manajemen-
krisis
Prinsip-Prinsip Manajemen Risiko | 37
lainnya yaitu berdasarkan perkiraan Credit Suisse AG dan dua lembaga
finansial lain, biaya penarikan Galaxy Note 7 di seluruh dunia bisa mencapai 1
miliar dollar AS. Bahkan beberapa maskapai penerbangan internasional
mengeluarkan kebijakan larangan bagi penumpang untuk membawa Note 7
ke dalam pesawat. Reputasi Samsung sebagai produsen handphone skala
global pun menjadi taruhan.
10
https://www.cliffsnotes.com/study-guides/principles-of-management/creating-
organizational-structure/the-organizational-process.
38 | Manajemen Risiko Berbasis SNI ISO 31000
organizational process consists of five steps: Review plans and objectives,
Determine the work activities necessary to accomplish objectives, Classify
and group the necessary work activities into manageable units, Assign
activities and delegate authority, Design a hierarchy of relationships.
11
https://m.tempo.co/read/news/2016/06/17/090780823/satelit-brisat-mengorbit-seperti-
apa-target-bisnis-bri
40 | Manajemen Risiko Berbasis SNI ISO 31000
kredit. Haru yakin, setelah BRIsat beroperasi, pertumbuhan kredit BRI
perlahan bakal melampaui 18 persen, seperti sebelum kondisi perekonomian
melemah dalam setahun terakhir. "Harus di atas rata-rata pertumbuhan
industri perbankan," ujarnya.
12
https://m.tempo.co/read/news/2016/03/14/090753532/terancam-diblokir-ini-rencana-
cadangan-grab-indonesia
Prinsip-Prinsip Manajemen Risiko | 41
Dia menuturkan Grab telah meningkatkan standar transportasi di
kota-kota dimana kami beroperasi, seperti Jakarta, Bandung, Padang,
Surabaya, dan Bali. Seluruh mitra pengemudi yang tergabung dalam jaringan
telah melalui proses seleksi dan pelatihan yang ketat, dimana semua telah
memiliki izin mengemudi (SIM). "Untuk layanan GrabCar, kami hanya
mengizinkan mobil-mobil di bawah umur 5 tahun. Kebijakan ini melebihi
ketentuan dari Perda No.5 Tahun 2014 yang menetapkan batasan maksimal
umur kendaraan yang beroperasi di Jakarta, 10 tahun untuk bis dan 7 tahun
untuk taksi," jelasnya.
Ada beberapa aspek yang dikaji dalam pemindahan ibu kota ini. Mulai
dari penentuan lokasi, estimasi pendanaan, dan tata kota. Nantinya Bappenas
yang akan memimpin kementerian dan lembaga lain dalam menjalankan
13
http://ekonomi.kompas.com/read/2017/07/03/154128926/pemerintah.targetkan.pemin
dahan.ibu.kota.dimulai.2018
Prinsip-Prinsip Manajemen Risiko | 43
rencana ini. "Utamanya Bappenas yang lead bersama Kementerian Pekerjaan
Umum. Tentunya dengan kementerian lainnya," kata Bambang.
14
https://www.cnnindonesia.com/teknologi/20170702173520-185-225249/hindari-
petya-kominfo-minta-semua-kementerian-matikan-lan/
Prinsip-Prinsip Manajemen Risiko | 45
Kementerian Komunikasi dan Informatika (Kominfo) mengimbau
pengelola Teknologi Informasi (TI) seluruh kementerian dan lembaga untuk
mengantisipasi ransomware Petya pada hari pertama masuk kerja usai libur
lebaran besok. Hal ini penting mengingat Indonesia terancam menjadi sasaran
malware tersebut. "Sebagai antisipasi meluasnya insiden, pada Senin (3/7)
mendatang, Id-SIRTII/CC telah menyusun langkah-langkah untuk pencegahan
dan mitigasi ransomware tersebut," bunyi pengumuman di laman Indonesia
Security Incident Response Team Minggu (2/7/2017).
15
https://kai.id/?_it8tnz=TWc9PQ==&_8dnts=WkdWMFlXbHM=&_4zph=TVRBPQ=
=&_24nd=TVRjd053PT0=
Prinsip-Prinsip Manajemen Risiko | 47
Disiagakan juga 2.251 personel di sepanjang lintasan rel yang terdiri
atas petugas penilik jalan (PPJ) ekstra sejumlah 633 orang, penjaga lintasan
(PJL) ekstra 1098 personel, tenaga daerah rawan 520 personel, ditambah
petugas Flying Gank yang disiagakan selama 24 jam. PT KAI juga menyiapkan
posko medis di 93 lokasi yang tersebar di Daop Divree. Tenaga medis yang
disiapkan antara lain 52 dokter umum, 16 dokter gigi, 205 orang paramedis,
dan 21 orang tenaga nonmedis. Tidak hanya itu, fasilitas penunjang kesehatan
juga disiapkan, antara lain 14 unit ambulans, 265 unit kursi roda, 262 unit
tandu, dan 15 unit perangkat penyelamat jantung. "Bagi para Ibu menyusui
juga disediakan fasilitas ruang laktasi yang tersebar di 110 stasiun," papar dia.
Sebanyak 6.203 petugas gabungan juga dikerahkan, terdiri dari 1.526 petugas
TNI dan Polri, dan 4.677 petugas internal. Selain itu, petugas juga akan
dibantu dengan 72 ekor K9 atau anjing pelacak. "Dengan bantuan dari
beberapa pihak seperti TNI, Polri, dan komunitas pencinta kereta api, kami
harap angkutan lebaran tahun ini dapat terselenggara dengan aman, lancar,
dan terkendali," ucap dia.
16
http://www.beritasatu.com/kesra/425414-menristekdikti-masyarakat-masih-takut-
dengan-pembangkit-listrik-tenaga-nuklir.html
Prinsip-Prinsip Manajemen Risiko | 49
dikembangkan Perancis dan Rusia. "Kalau yang dipakai di Fukushima, Jepang,
itu yang generasi pertama," lanjutnya.
17
https://www.google.co.id/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&
uact=8&ved=0ahUKEwiP1dOhk-
rVAhVCP48KHZnDD7wQFgglMAA&url=http%3A%2F%2Fnasional.news.viva.co.id
%2Fnews%2Fread%2F822813-pizza-hut-adukan-tempo-dan-bbc-indonesia-ke-dewan-
pers&usg=AFQjCNESGAt8X6AO5FJP_rqs_RwGOM7HjQ
50 | Manajemen Risiko Berbasis SNI ISO 31000
PT Sarimelati Kencana, penerima waralaba untuk restoran Pizza Hut,
Pizza Hut Delivery, dan The Kitchen by Pizza Hut di Indonesia, Jumat 16
September 2016, mengajukan pengaduan resmi ke Dewan Pers terhadap
Tempo dan BBC Indonesia. Unsur dari Tempo yang diadukan yaitu PT Tempo
Inti Media Tbk, sebagai pengelola Majalah Tempo, Koran Tempo, halaman
situs www.tempo.co dan Tempo Magazine. Dalam keterangan tertulisnya, PT
Sarimelati Kencana menjelaskan, pengaduan ini diajukan sehubungan dengan
pemberitaan di Tempo dan BBC Indonesia yang bukan hanya menyudutkan,
namun sekaligus mendiskreditkan nama baik perusahaan.
18
http://library.fis.uny.ac.id/elibfis/index.php?p=show_detail&id=1111&keywords=
52 | Manajemen Risiko Berbasis SNI ISO 31000
Analisis data dalam penelitian ini melalui tiga tahap, yakni reduksi data,
penyajian data dan penarikan kesimpulan.
Sejalan dengan itu, manajemen risiko pun harus melayani proses itu.
Manajemen risiko harus memfasilitasi (memudahkan) perbaikan terus
menerus dari organisasi. Berikut ini adalah kutipan berita dari Koran SINDO
yang membahas kritik terhadap pelayanan KRL Commuter Line19.
19
http://koran-sindo.com/page/news/2016-04-08/0/18/Manajemen_Commuter_Line_
Masih_Buruk
54 | Manajemen Risiko Berbasis SNI ISO 31000
Jakarta Selatan. Selain Commuter Line, stasiun tersebut melayani kereta jarak
jauh. Kondisi ini diperparah dengan sistem pemeliharaan yang tidak
maksimal. Untuk itu, Darmaningtyas menyarankan pola manajemen yang ada
saat ini harus diubah demi meminimalkan gangguan. ”Salah satunya
membagi zona perlintasan. Kereta jarak jauh dipusatkan di pinggir Jakarta
seperti membangun stasiun di kawasan Cipinang, Jakarta Timur,” katanya
kemarin. Perubahan manajemen akan membuat lalu lintas perjalanan kereta
menjadi tertata.
Target 1,2 juta penumpang KRL pada 2017 membuat PT KCJ harus
memutar otak. Meski tidak akan melakukan penambahan terhadap perjalanan
kereta, namun kondisi itu membuat rangkaian kereta api ditambah, terutama
di sejumlah jalur padat dari delapan gerbong menjadi 10-12 gerbong, seperti
Bogor dan Stasiun Kota.
O
3.1 Pengertian mengenai Kerangka Kerja Manajemen Risiko
Menurut SNI ISO Guide 73:2016 dan SNI ISO 31000:2011, kerangka
kerja manajemen risiko didefinisikan sebagai berikut:
20
Sumber: https://id.wikipedia.org/wiki/PDCA
58 | Manajemen Risiko Berbasis SNI ISO 31000
Namun khusus untuk kerangka kerja manajemen risiko berdasarkan
SNI ISO 31000:2011 ditambahkan satu bagian awal yaitu mandat dan
komitmen, sebagai bagian yang cukup penting dalam memastikan komitmen
yang kuat dan berkelanjutan dari manajemen organisasi / pimpinan puncak
untuk memastikan efektivitas pengelolaan risiko. Adapun kerangka kerja
manajemen risiko yang sesuai dengan SNI ISO 31000:2011 diilustrasikan pada
3.2 berikut ini:
21
Sumber: https://kbbi.web.id/mandat
22
Sumber: https://kbbi.web.id/komitmen
60 | Manajemen Risiko Berbasis SNI ISO 31000
menyelaraskan sasaran manajemen risiko dengan sasaran dan strategi
organisasi;
memastikan kepatuhan peraturan dan hukum;
menetapkan akuntabilitas dan tanggung jawab pada tingkat yang layak
dalam organisasi;
memastikan bahwa sumber daya yang diperlukan dialokasikan bagi
manajemen risiko;
mengkomunikasikan manfaat manajemen risiko kepada seluruh
pemangku kepentingan; dan
memastikan bahwa kerangka kerja untuk pengelolaan risiko selalu tetap
layak.
Prinsip-Prinsip
Kerangka Risiko | 61
ManajemenRisiko
Kerja Manajemen
lingkup (misalnya perubahan spesifikasi pekerjaan, pemantauan kinerja
dan proses manajemen) dan juga akan menyerap sebagian kapasitas
organisasi untuk perubahan. Hal ini perlu dipertimbangkan dalam
konteks dari perubahan lain yang sedang dilakukan dan apakah hal
tersebut dapat terintegrasi.
Orang-orang yang akan dipengaruhi secara signifikan oleh perubahan
sebaiknya dikonsultasikan, khususnya petugas dari setiap sekat
manajemen risiko dalam organisasi (misalnya kesehatan dan
keselamatan, manajemen keamanan), sehingga semua implikasi dari
perubahan dapat dipahami.
Mandat sebaiknya diartikulasikan dalam suatu pernyataan kebijakan
yang akan menunjukkan komitmen organisasi pada mandat tersebut.
Selain itu, agar mandat dan komitmen dapat efektif, manajemen puncak
dan badan pengawasan dari suatu entitas/organisasi sebaiknya
mengekspresikan secara jelas kepada para pemangku kepentingan
mengenai pendekatan pengelolaan risiko dan mendokumentasikan serta
mengkomunikasikan hal tersebut secara tepat. Mandat untuk
manajemen risiko biasanya melibatkan perubahan perilaku, budaya,
kebijakan, proses, dan kinerja yang diharapkan dalam pengelolaan risiko
di mana akan tercermin dalam kerangka kerja manajemen risiko. Mandat
dan komitmen mungkin berbentuk suatu pernyataan kebijakan singkat
yang dikomunikasikan secara luas. Pengembangan mandat tersebut akan
melibatkan keputusan mengenai tindakan yang diperlukan, serta
otorisasi untuk pelaksanaan mandat tersebut. Karena madat tersebut
akan memerlukan keterlibatan otoritas untuk membawa perubahan.
Selain itu, karena mandat dan komitmen adalah suatu bagian mendasar
dari kerangka kerja manajemen risiko, maka selain menjadi bagian dari
kerangka kerja manajemen dan tata kelola organisasi, sebaiknya juga
mencerminkan sebelas prinsip yang ditetapkan dalam SNI ISO 31000:
2011.
Prinsip-Prinsip
Kerangka Risiko | 63
ManajemenRisiko
Kerja Manajemen
organisasi yang lebih besar, penetapan suatu kebijakan biasanya akan
menandakan pengembangan suatu pernyataan resmi tentang mandat bagi
manajemen risiko yang akan menjadi bagian dari keseluruhan rangkaian
kebijakan. Karena itu, kebijakan tersebut akan ditandatangani oleh pihak
pengelola dan kemudian dikomunikasikan dan diperkuat melalui sistem
manajemen
Prinsip-Prinsip
Kerangka Risiko | 67
ManajemenRisiko
Kerja Manajemen
implementasi manajemen risiko23, diantaranya adalah sebagai berikut:
Direksi dan Dewan Komisaris Entitas Utama berwenang dan
bertanggungjawab untuk memastikan penerapan Manajemen Risiko
sesuai dengan karakteristik dan kompleksitas usaha. Diantaranya adalah
dengan: mengarahkan, menyetujui, dan mengevaluasi kebijakan
manajemen risiko, serta mengevaluasi pelaksanaan kebijakan tersebut.
Dalam mendukung penerapan manajemen risiko, Direksi dan Dewan
Komisaris wajib memast ikan penerapan manajemen risiko pada masing-
masing perusahaan.
Pada gambar 3.3 berikut ini adalah beberapa contoh mandat &
komitmen dalam versi singkat, yang biasanya diterjemahkan lebih lanjut
dalam dokumen kebijakan manajemen risiko24,25 dan 26.
23
Sumber: POJK 17/POJK.03/2014 tentang Penerapan Manajemen Risiko Terintegrasi
bagi Konglomerasi Keuangan.
24
Sumber: http://www.pupukkaltim.com/ina/pkt-management-system-kebijakan-tata-
kelola/#sekilas-gcg
25
Sumber: http://mpmgroup.co.id/public/uploads/2016/09/MPM%20Group-
RM%20Policy%20&%20Guidance.pdf
26
Sumber: http://www.abm-investama.com/media/pdf/Enterprise-Risk-Management-
Policy_eng.pdf
68 | Manajemen Risiko Berbasis SNI ISO 31000
3.3 Rancangan Kerangka Kerja Untuk Pengelolaan Risiko
27
Sumber: http://isoconsultantpune.com/isms-context-of-the-organization/
28
Sumber: SNI ISO Guide 73:2016 Manajemen risiko – Kosakata
Prinsip-Prinsip
Kerangka Risiko | 69
ManajemenRisiko
Kerja Manajemen
Gambar 3.4 Elemen-elemen umum terkait pemahaman organisasi
29
Sumber: SNI ISO Guide 73:2016 Manajemen risiko – Kosakata
70 | Manajemen Risiko Berbasis SNI ISO 31000
Sedangkan yang dimaksud dengan konteks internal30 adalah
lingkungan internal di mana organisasi berusaha untuk mencapai sasarannya.
Adapun pada pengevaluasian konteks internal organisasi dapat meliputi hal-
hal berikut, tetapi tidak terbatas pada:
tata kelola, struktur organisasi, peran dan akuntabilitas;
kebijakan, sasaran, dan strategi yang tepat untuk mencapainya;
kemampuan, pemahaman dalam hal sumber daya dan pengetahuan
(misalnya modal, waktu, orang, proses, sistem dan teknologi);
sistem informasi, arus informasi dan proses membuat keputusan (baik
formal maupun informal);
hubungan terkait, persepsi dan nilai-nilai dari pemangku kepentingan
internal.
budaya organisasi;
standar, pedoman dan model yang diadopsi oleh organisasi; dan
bentuk dan cakupan hubungan kontraktual.
30
Sumber: SNI ISO Guide 73:2016 Manajemen risiko – Kosakata
31
Sumber: https://en.wikipedia.org/wiki/PEST_analysis
32
Sumber: https://www.swotandpestle.com/garuda-indonesia/
Prinsip-Prinsip
Kerangka Risiko | 71
ManajemenRisiko
Kerja Manajemen
The PESTLE analysis for Garuda Indonesia is Presented below: The SWOT analysis for Garuda Indonesia is Presented below:
Political Economical Strengths Weaknesses
1. Being majorly owned by 1. Economic fundamentals favour Garuda; 1. Flag carrier of Indonesia with 1. Lawsuit regarding gender
Indonesian government, GDP growth of 4.9% and air travel growth of government backing. discrimitaion in retirement age
Garuda enjoys strong backing. 11% in Indonesia. 2. Garuda awarded "Indonesia for stewardesses by Garuda
2. Domestic political turbulence 2. Indonesia being the most populous among Most Admired Companies"for may incur penalties for the
is the single biggest risk that ASEAN nations and fourth globally presents a eight consecutive years and also carrier.
could affect Indonesia and its lucrative aviation market for Garuda. attained 5-star airlines status 2. Citilink, Garuda's LCC (low
economy in the coming years, 3. Tourism is expected to increase significantly 3. Increase in flight network, cost carrier) financial
thus impacting Garuda's in the next four years which will be a booster joining SkyTeam alliance and focus performance straining the
prospects. Garuda. on cargo business driving growth. group.
Social Technological Opportunities Threats
1. Indonesia being an 1. Implementation of mobility and analytics 1. Garuda's shift towards digital 1. Domestic political turbulance
archipelago has an air traffic initiatives across the business units at Gauda sales channels and growing and rise in extremism major
penetration of just 33%, thus airlines will result in efficiency and increased reengineered cargo business offers threat that could affect
there is significant upside customer satisfaction. immense potential. Indonesian economy thus
opportunity. 2. Implementation of e-auction has made 2. Indonesia being the most impacting Garuda's prospects.
2. Indonesia is a growing procurement seamless and efficient and populous among ASEAN nations 2. Excessive competition with
economy with increase in Garuda is able to keep the inventroy cost at and fourth globally presents a regards to pricing among key
average disposable income of minimum. lucrative aviation market for competitors of Garuda may
an average of 5% annually, 3. Tie up with Sabre Airline Solutions platform Garuda. threaten both yields and load
which is expected to boost air will strengthen Garuda's aircraft tracking, 3. "Excellent Indonesian factors.
travel. disruption control and prevention and crew Hospitality"service by Garuda to
operations. improve customer experience.
Legal Environmental
1. Ongoing lawsuit regarding 1. Garuda Indonesia focuses its environment
gender discrimination in sustainability strategy on the three pillars,
retirement age for People, Planet, and Profit.
stewardesses by Garuda may 2. Increased use of alternative/renewable
incur penalties. sources of energy by Garuda to reduce Carbon
footprint.
3. Frequent natural catastrophes in Indonesia
may subdue the econmic growth.
Gambar 3.5 Contoh analisis PESTLE dan SWOT untuk penetapan konteks
organisasi
33
Sumber: https://www.eisf.eu/wp-content/uploads/2014/09/0236-Airmic-Alarm-IRM-
2010-A-structured-approach-to-ERM.pdf
72 | Manajemen Risiko Berbasis SNI ISO 31000
Gambar 3.6 Contoh cakupan pengelola risiko berdasarkan evaluasi atas
konteks organisasi
“
Pernyataan dari keseluruhan maksud dan arah suatu organisasi yang terkait
dengan manajemen risiko.
34
Sumber: SNI ISO Guide 73:2016 Manajemen risiko – Kosakata
Prinsip-Prinsip
Kerangka Risiko | 73
ManajemenRisiko
Kerja Manajemen
entitas/organisasi dalam rangka perencanaan, implementasi, pemantauan
dan tinjauan dan perbaikan terus-menerus dalam pengelolaan risiko.
3.3.3 Akuntabilitas
Pada saat ini, banyak sekali para ahli yang mendefinisikan mengenai
akuntabilitas. Yang mana kata akuntabilitas berasal dari bahasa Inggris
“accountability” yang dapat diartikan sebagai pertanggungjawaban atau
keadaan untuk dipertanggungjawabkan atau keadaan untuk diminta
pertanggunganjawab36. Akuntabilitas sendiri saat ini sudah menjadi menjadi
salah satu prinsip Tata Kelola Perusahaan yang Baik (Good Corporate
Governance – GCG) yang telah banyak digunakan oleh berbagi
entitas/organisasi. Dan seiring dengan berkembangnya konsep GCG tersebut,
Lawton and Rose (1994) mendefinisikan akuntabilitas sebagai berikut:
35
Sumber: SNI ISO Guide 73:2016 Manajemen risiko – Kosakata
36
Sumber: http://www.definisi-pengertian.com/2015/04/definisi-pengertian-
akuntabilitas-konsep.html
Prinsip-Prinsip
Kerangka Risiko | 75
ManajemenRisiko
Kerja Manajemen
terkait pencapaian sasaran ataupun yang akan mengelola risiko. Adapun
orang atau entitas dangan akuntabilitas dan wewenang untuk mengelola
risiko disebut sebagai Pemilik Risiko (Risk Owner)37. Sesuai dengan SNI ISO
31000:2011, organisasi sebaiknya memastikan tersedianya akuntabilitas,
kewenangan, dan kompetensi yang layak untuk pengelolaan risiko, termasuk
pengimplementasian dan pemeliharaan proses manajemen risiko serta
memastikan kecukupan, efektivitas, dan efisiensi dari setiap pengendalian.
Hal ini dapat difasilitasi dengan:
37
Sumber: Sumber: SNI ISO Guide 73:2016 Manajemen risiko – Kosakata
38
Sumber: https://en.wikipedia.org/wiki/Responsibility_assignment_matrix
39
Sumber: http://magnaqm.com/project-management-articles/raci-matrix/
76 | Manajemen Risiko Berbasis SNI ISO 31000
Gambar 3.7 Penjelasan peran dalam Matriks RACI
40
Sumber: Antonius Alijoyo, http://crmsindonesia.org/publications/pertahanan-3-lapis-
the-3-lines-of-defence-konteks-erm-perusahaan-publik-di-indonesia/
Prinsip-Prinsip
Kerangka Risiko | 77
ManajemenRisiko
Kerja Manajemen
Gambar 3.8 Ilustrasi model pertahanan tiga lapis pada manajemen risiko
41
Sumber: Arif Budiman, 2017
78 | Manajemen Risiko Berbasis SNI ISO 31000
Hierarki Sasaran dan Risiko Tingkatan Tingkat Risiko Pemilik Risiko Ruang lingkup
Manajemen Divisional /
Sasaran Taktis Risiko Taktis
Menengah Departemental
Prinsip-Prinsip
Kerangka Risiko | 79
ManajemenRisiko
Kerja Manajemen
manajemen risiko, komite pemantau risiko, komite audit dan lain-lain.
Pada Gambar 3.10 berikut ini adalah contoh penetapan akuntabilitas
pada proses manajemen risiko di suatu organisasi.
No Tahap Proses Dewan Komisaris Direksi Dep. Risk External Keterangan:
Manajemen Komisaris Pemantau K&MR Owner Stakeholder R: Responsible:
Risiko Risiko Siapa yang
mengerjakan
1 Persiapan A R I
A: Accountable:
2 Komunikasi & I I A R C I
Siapa yang
Konsultasi
membuat keputusan
3 Menetukan I C A R C I
akhir "Ya" atau "Tidak
konteks
C: Consulted: Siapa yang
4 Asesmen Risiko
harus diajak konsultasi
Identifikasi Risiko I C C R A/R sebelum kegiatan
Analisis Risiko I C C R A/R dilanjutkan
I: Informed: Siapa yang
Evaluasi Risiko I C C R A/R I harus diberi informasi
5 Perlakuan Risiko I C A C E C/I
6 Monitoring dan I R A R C I
Reviu
7 Pelaporan C C A R R/C
Manajemen
Risiko
1 Integrasi manajemen risiko berbasis SNI ISO 31000 2 Integrasi manajemen risiko berbasis SNI ISO 31000
dengan standar berbasis ISO lainnya dengan Project risk management - PMBOK*
PMBOK
ISO 31000
42
Sumber: http://wha.co.za/ ,
43
Sumber: Nicola Crawford, IRM IPYD – ISO 31000, 2009
Prinsip-Prinsip
Kerangka Risiko | 81
ManajemenRisiko
Kerja Manajemen
3.3.5 Sumber daya
44
Sumber: Arif Budiman, 2017
Prinsip-Prinsip
Kerangka Risiko | 83
ManajemenRisiko
Kerja Manajemen
komponen utama dari kerangka kerja manajemen risiko dan setiap
modifikasi yang dilakukan setelahnya, agar dikomunikasikan dengan
layak;
terdapat pelaporan internal yang cukup mengenai efektivitas dan
manfaat keluaran pada kerangka kerja manajemen risiko;
informasi relevan yang diturunkan dari pengaplikasian manajemen risiko
tersedia pada tingkatan yang layak dan waktu yang tepat; dan
terdapat proses konsultasi dengan para pemangku kepentingan internal.
Pada proses penerapannya secara khusus organisasi harus memiliki
mekanisme komunikasi dan pelaporan formal terkait dengan
pengelolaan risiko. Pengomunikasian terkait dengan pengelolaan risiko
bisa digolongkan menjadi 2 bagian, yaitu komunikasi yang bersifat
eskalasi dan komunikasi yang bersifat sosialisasi/internalisasi. Pada
kerangka kerja manajemen risiko kedua hal tersebut harus diatur dalam
suatu kebijakan/prosedur formal. Adapun terkait dengan pengaturan
mengenai pelaporan pengelolaan dan penerapan manajemen risiko
biasanya berisi mengenai sistem pelaporan, jenis pelaporan dan periode
pelaporan. Di mana ketiga hal tersebut juga harus diatur dalam
kebijakan/prosedur pengelolaan risiko yang ada.
Prinsip-Prinsip
Kerangka Risiko | 85
ManajemenRisiko
Kerja Manajemen
dapat pula mengimplementasikan praktik-praktik manajemen perubahan
dalam implementasi manajemen risiko ini, hal ini dikarenakan pada saat
implementasi manajemen risiko dimungkinkan berdampak pada banyaknya
perubahan internal yang harus terjadi. Adapun manajemen perubahan yang
dimaksud adalah suatu pendekatan untuk mengubah individu, tim, dan
organisasi kepada kondisi masa depan yang diinginkan45, di mana kondisi
yang diinginkan telah diuraikan dalam bentuk sasaran yang ingin dicapai.
Dengan adanya manajemen perubahan yang baik maka pada hakekatnya
dapat pula mengurangi risiko di kemudian hari yang timbul dari pengelolaan
perubahan yang kurang baik dari hasil pengelolaan risiko.
45
Kottler, J.P (2011). Change Management vs. Change Leadership -- What's the
Difference? Forbes online
86 | Manajemen Risiko Berbasis SNI ISO 31000
terhadap kriteria yang telah ditentukan. Sementara setiap audit adalah
merupakan suatu tinjauan, tidak setiap tinjauan adalah audit.
Prinsip-Prinsip
Kerangka Risiko | 87
ManajemenRisiko
Kerja Manajemen
untuk peningkatan kerangka kerja manajemen risiko dan keseluruhan kinerja
organisasi.
Prinsip-Prinsip
Kerangka Risiko | 89
ManajemenRisiko
Kerja Manajemen
daya, dan ketrampilan untuk melaksanakan akuntabilitas mereka
secara layak.
Aplikasi manajemen risiko dalam setiap pengambilan keputusan,
setiap pengambilan keputusan dalam organisasi melibatkan
pertimbangan eksplisit atas risiko serta aplikasi manajemen risiko pada
tingkatan tertentu yang sesuai, hal ini berlaku untuk tingkat
kepentingan dan signifikansi apapun. Dilengkapi dengan rekaman
pertemuan dan rekaman keputusan untuk menunjukkan bahwa diskusi
eksplisit mengenai risiko telah dilakukan.
Komunikasi berkesinambungan, manajemen risiko yang diperkuat
memiliki komunikasi berkesinambungan dengan para pemangku
kepentingan eksternal dan internal, termasuk pelaporan yang
komprehensif dan rutin mengenai kinerja manajemen risiko, sebagai
bagian dari tata kelola yang baik. Komunikasi dipandang secara tepat
sebagai suatu proses dua arah, sedemikian rupa sehingga keputusan
tentang tingkat suatu risiko dan kebutuhan dari perlakuan risiko dapat
dibuat berdasarkan informasi cukup memadai. Pelaporan eksternal dan
internal yang komprehensif dan rutin, baik mengenai risiko signifikan
dan mengenai kinerja manajemen risiko akan berkontribusi secara
substansial pada tata kelola yang efektif dalam organisasi tersebut.
Integrasi penuh dalam struktur tata kelola suatu organisasi,
manajemen risiko dipandang sebagai pusat dari proses manajemen
suatu organisasi, sedemikian rupa sehingga risiko dipertimbangkan
dalam konteks efek mengenai ketidakpastian dari sasaran.
46
Diadopsi dari SNI ISO 31000:2011
92 | Manajemen Risiko Berbasis SNI ISO 31000
4.1 Komunikasi dan Konsultasi
47
Project Management Institute, A Guide to The project Management Bodu of
Knowledge (PMBOK Guide), 5th Ed., 2013, hal. 257.
Proses Manajemen Risiko | 93
Contoh berikut menunjukkan penggunaan matriks RACI pada suatu
rancangan pelaksanaan lokakarya identifikasi risiko untuk membentuk
register risiko yang harus dilaporkan kepada pihak regulator.
Tabel 4.1 Contoh Matriks RACI dalam suatu aktivitas identifikasi risiko
No. Aktivitas Jenis Media yg Penerima Konten Tujuan Penyiap Penyampai Tgl.
KM/KS* digunakan pesan pesan pesan
1.1 Penetapan KS Rapat/diskusi Manajer Opsi tanggal (& lokasi) Tersedia 1 tanggal yang Kabag. MR Kabag. MR Q1 –
tgl. MR pelaksanaan lokakarya ditetapkan untuk Operasional Operasional Feb’18
pelaksanaa identifikasi risiko pelaksanaan lokakarya
n identifikasi risiko
1.2 Penetapan KS Rapat/diskusi Manajer Opsi para pihak Tersedia daftar pihak Kabag. MR Kabag. MR Q1 –
undangan MR terundang pada terundang sebagai pihak Operasional Operasional Feb’18
lokakarya identifikasi yang diharapkan hadir
risiko saat lokakarya
berlangsung
KS Rapat/diskusi Direktur Tanggal (& lokasi) + Direksi mengetahui (& Kabag. MR Manajer MR Q1 –
MR pihak terundang menyetujui) rencana Operasional Feb’18
lokakarya identifikasi pelaksanaan lokakarya
risiko
1.3 Pendistribu KM Email, Ka. Dept., Tanggal & lokasi Pihak terundang Kabag. MR Manajer MR Q1 –
sian telepon, WA cc. Direksi lokakarya identifikasi mendapatkan informasi Operasional Feb’18
undangan Group risiko dan undangan lokakarya
1.4 Penyiapan KM Rapat/diskusi Manajer Daftar fasilitas & Terdata fasilitas & Kabag. MR Kabag. MR Q1 –
fasilitas & MR perangkat yang perangkat lokakarya Operasional Operasional Feb’18
perangkat dibutuhkan untuk untuk dipastikan
pelaksanaan lokakarya ketersediaannya saat
identifikasi risiko lokakarya
1.5 Pelaksanaan KS Lokakarya Ka. Dept. Pendekatan & Identifikasi risiko Kabag. MR Manajer MR Q1 –
lokakarya metodologi serta dapat terlaksanakan Operasional Mar’18
identifikasi teknik identifikasi risiko secara efektif oleh
risiko para Ka. Dept.
1.6 Perumusan KS Rapat/diskusi Manajer MR Register risiko hasil Register risiko hasil Kabag. MR Kabag. MR Q1 –
hasil lokakarya para Ka. lokakarya mendapat Operasional Operasional Mar’18
Dept acc dari Manajer MR
untuk dilaporkan ke
Direksi dan regulator
1.7 Pelaporan KM Pelaporan Direktur MR Register risiko Register risiko Kabag. MR Manajer MR Q1 –
register organisasi organisasi mendapat Operasional Mar’18
risiko acc dari Direktur MR
internal untuk dilaporkan ke
regulator
1.8 Pelaporan KM Pelaporan Regulator Register risiko Pelaporan register Manajer MR Direktur MR Q2 –
Proses Manajemen Risiko | 97
*) KM = Komunikasi;
KS = Konsultasi.
Kriteria Risiko
Kriteria risiko merupakan kriteria yang digunakan dalam menghitung dan
mengevaluasi eksposur sebuah risiko terhadap organisasi. Adapun
kriteria risiko ini perlu diselaraskan dengan sasaran yang hendak diraih
oleh organisasi. Hal ini bertujuan untuk memudahkan organisasi untuk
memantau seberapa besar suatu sasaran terpapar oleh risiko, atau
dengan sudut pandang yang berbeda, seberapa besar eksposur risiko
terhadap suatu sasaran tertentu.
“Besaran dan tipe risiko yang siap dikejar atau diambil oleh sebuah
organisasi.”
Sedangkan Toleransi Risiko adalah:
Toleransi risiko
Selera risiko
Profil/eksposur risiko yang diharapkan
Perilaku Risiko
Meski berada dalam industri yang sama dan menawarkan produk atau jasa
yang sama, sebuah organisasi sangat mungkin memiliki kapasitas, selera,
dan toleransi risiko yang berbeda dengan organisasi lainnya. Bahkan
dengan kapasitas risiko yang sama sekalipun, potensi suatu organisasi
memiliki selera dan toleransi risiko yang berbeda dengan organisasi lainnya
masih sangat besar.
Fenomena ini terjadi karena adanya perbedaan perilaku risiko dari masing-
masing organisasi, atau dalam hal ini, dari manajemen puncak masing-
Adapun perilaku risiko yang paling umum dan dikenal secara luas adalah
penolak risiko (risk averse) dan pengambil risiko (risk taker). Bagi organisasi
(dengan manajemen puncak) yang berperilaku penolak risiko, umumnya
memiliki selera dan toleransi risiko yang saling berjauhan lebih rendah dari
kapasitas risiko yang ada. Sebaliknya, organisasi (dengan manajemen
puncak) dengan perilaku pengambil risiko memiliki kecenderungan untuk
menetapkan selera dan toleransi risiko yang saling berdekatan dengan
kapasitas risiko yang dimiliki organisasi.
Toleransi risiko
Selera risiko
Pengambil Penolak
risiko risiko
Sebenarnya ada satu lagi perilaku risiko yang dikenal secara luas, yaitu
spekulan, atau pihak yang melakukan aktivitas spekulatif dengan
mengambil risiko demi merealisasikan peluang, atau mengejar keuntungan,
atau mendapatkan manfaat yang jauh lebih besar. Sering kali spekulan
disejajarkan dengan perilaku pengambil risiko, atau dengan kata lain, hanya
Identifikasi Risiko
Menurut SNI ISO 31000, identifikasi risiko merupakan proses
menemukan, mengenali dan memberikan gambaran risiko. Tidak hanya
peristiwa risiko saja, SNI ISO 31000 juga mengarahkan proses identifikasi
risiko untuk mengidentifikasi sumber risiko – baik yang terkendali
maupun yang tidak, area dampak – yang membantu untuk menentukan
kriteria dampak apa saja yang relevan untuk digunakan saat melakukan
analisis risiko pada proses selanjutnya, penyebab (munculnya) peristiwa
risiko, serta dampak potensial apa yang mungkin timbul (ketika peristiwa
risiko terjadi).
Selain itu, SNI ISO 31000 juga mengarahkan agar organisasi memeriksa
hubungan keterkaitan kausal antar satu peristiwa risiko dengan peristiwa
risiko lainnya (dikenal dengan istilah knock-on effect di mana aktivitas
analisis hubungan antar risiko kerap disebut sebagai analisis keterkaitan
antar risiko atau risk interrelationship analysis).
Contoh:
Pada sebuah universitas dilakukan penilaian risiko terkait risiko
kebakaran. Pada proses identifikasi risiko, hasil yang didapat dapat
berupa:
K3 Timbulnya
korban
Reputasi Publikasi
negatif
tentang
insiden
kebakaran
Memahami risiko
Pemahaman mengenai apa yang dimaksud dengan risiko akan memudahkan
pelaksanaan proses identifikasi risiko, selain dari meningkatkan kualitas
register risiko sebagai keluaran proses.
Dalam hal ini, dapat kita pahami bahwa ketidakpastian bukanlah risiko itu
sendiri karena risiko justru muncul sebagai efek dari hadirnya unsur
ketidakpastian, dalam pencapaian sasaran.
Sekarang bayangkan Anda berada dalam sebuah ruangan yang tidak terlalu
luas dan terang benderang di mana di dalamnya terdapat sebuah meja –
dengan sebuah gelas di atasnya, satu buah kursi, dan sebuah lemari. Sasaran
yang hendak Anda capai adalah mengambil gelas yang berada di atas meja.
Mudah bukan? Mengapa? Dalam ruangan tersebut tidak terlalu banyak
perabot, kondisi ruangan yang terang membuat Anda dapat melihat dengan
jelas apa saja yang ada di sekeliling Anda, serta anggota tubuh Anda dapat
berfungsi dengan baik sehingga Anda dapat melangkah maju menuju meja
tempat gelas yang Anda ingin ambil berada. Situasi di atas menunjukkan
bahwa tingkat kepastian Anda dalam mencapai sasaran sangat tinggi sekali.
Dalam situasi yang baru, tidak lagi mudah bagi Anda untuk berjalan menuju
meja dan mengambil gelas yang menjadi sasaran Anda. Mengapa demikian?
Ketika lampu ruangan tersebut dipadamkan sehingga ruangan menjadi gelap
gulita, ditambah lagi dengan posisi perabot di dalam ruagan tersebut ikut
berubah secara acak, maka hadir faktor ketidakpastian bagi Anda untuk
mencapai sasaran Anda.
Ketimbang tiba di meja tempat tujuan Anda dan mengambil gelas yang ada di
atasnya, Anda mungkin malah menabrak lemari, kursi, atau dinding, sesuatu
yang muncul karena telah hadir unsur ketidakpastian di atas. Dan ketika Anda
menabrak lemari, kursi, atau dinding maka sasaran Anda untuk mengambil
gelas di atas meja menjadi terhambat, atau setidaknya tertunda. Bahkan lebih
daripada itu, tanpa disengaja Anda bisa mendapatkan cidera karena
menabrak perabot yang ada, sehingga Anda tidak dapat lagi meneruskan
upaya Anda untuk mencari dan mengambil gelas yang Anda inginkan, dan
artinya sasaran gagal Anda raih.
Sebagai tambahan, definisi risiko yang diberikan SNI ISO 31000 di atas juga
menunjukkan suatu hubungan keterkaitan yang sangat erat antara risiko
dengan sasaran. Dalam hal ini, sasaran yang berbeda dapat mengandung
faktor ketidakpastian yang juga berbeda, dan dengan demikian dapat
memunculkan risiko-risiko yang berbeda juga. Sehubungan dengan hal ini,
penting bagi kita untuk memahami secara benar apa yang sesungguhnya
menjadi sasaran sebelum mencoba melakukan proses identifikasi risiko yang
melekat pada suatu sasaran tertentu.
Analisis Risiko
Aktivitas analsis risiko mengacu pada serangkaian kegiatan pengukuran
eksposur dampak risiko dan kemungkinannya yang dapat dilakukan
secara kualitatif, semi-kuantitatif, maupun kuantitatif. SNI ISO 31000
juga mengingatkan bahwa suatu peristiwa risiko dapat menimbulkan
114 | Manajemen Risiko Berbasis SNI ISO 31000
beberapa dampak sekaligus yang dapat mempengaruhi beberapa
sasaran organisasi.
Contoh:
Dengan melanjutkan contoh pada bagian proses ‘Identifikasi Risiko’ di
atas maka hasil analisis risiko dapat berupa:
Gambar 4.4 Contoh analisis pohon kejadian risiko kebakaran karena arus
pendek
(3) Guna membentuk suatu laporan profil risiko maka Dept. Manajemen
Risiko universitas melengkapi hasil analisis risiko dengan sebuah
peta risiko berupa matriks 3 x 3 sebagai berikut.
Mengacu pada isi dokumen SNI ISO Guide 73, profil risiko didefinisikan
secara sederhana sebagai gambaran dari serangkaian risiko. Dalam
praktiknya, profil risiko berupa suatu laporan yang menunjukkan
eksposur risiko-risiko teridentifikasi, di mana yang kerap didahulukan
dalam pelaporannya adalah risiko-risiko dengan nilai atau peringkat
teratas, yang sedang dihadapi organisasi saat ini atau dalam suatu kurun
waktu tertentu.
Contoh:
Melanjutkan contoh sebelumnya maka risiko kebakaran dinilai
memerlukan perlakuan risiko, khususnya bagi potensi dampak
operasional, K3, dan reputasi. Sedangkan terkait dampak finansial, risiko
kebakaran sudah dapat diterima karena kendali yang ada saat ini dinilai
sudah efektif.
Contoh:
Masih menggunakan contoh pada bagian sebelumnya, rencana perlakuan
risiko bagi risiko kebakaran dapat berupa:
Beberapa hal yang perlu diingat atau diperhatikan ketika kita sedang
melaksanakan perlakuan risiko antara lain:
a. Perlakuan risiko merupakan proses yang teramat penting dalam proses
manajemen risiko yang perlu dipastikan efektivitas pelaksanaan maupun
hasilnya. Tanpa realisasi rencana perlakuan risiko maka sebenarnya risiko-
risiko yang tengah dihadapi organisasi belum terkelola;
b. Tidak dapat dibenarkan bila rencana perlakuan risiko berupa aktivitas yang
bertentangan atau melanggar norma hukum dan etika;
c. Ada dua tipe risiko yang tidak dapat kita tolak: (1) risiko yang melekat pada
core business, contoh: sebuah bank tidak akan bisa menolak atau
menghindar dari risiko perbankan, dan (2) risiko bawaan yang melekat pada
aset, contoh barang tiruan cenderung tidak tahan lama dan lebih cepat rusak
ketimbang barang orisinil;
d. Syarat keberhasilan berbagi risiko adalah dengan cara berbagi eksposur
risiko kepada pihak yang lebih mampu untuk mengelola risiko ketimbang diri
kita sendiri, contoh: outsource, subcon, joint operation, joint venture.
e. Prinsip analisis biaya-manfaat adalah memilih opsi perlakuan risiko dengan
ongkos pelaksanaan yang lebih murah ketimbang kerugian atau biaya
kerugian yang harus ditanggung organisasi bila risiko terjadi. Pada
pendekatan lainnya, opsi perlakuan risiko yang dipilih adalah perlakuan risiko
dengan ongkos yang lebih kecil dari penurunan eksposur finansial risiko yang
dihasilkan melalui pelaksanaan perlakuan risiko tersebut.
f. Terkadang, kita tidak, atau belum, menemukan perlakuan risiko dengan
ongkos yang lebih murah dari biaya kerugian yang ditimbulkan oleh risiko.
Terhadap risiko-risiko seperti ini maka opsi yang dapat dipilih organisasi
adalah (selain daripada tolak dan berbagi): “menerima” risiko untuk
sementara waktu hingga ditemukannya opsi perlakuan risiko yang sama
efektifnya dengan ongkos yang lebih reasonable;
g. Masih terkait dengan poin c di atas, tidak dalam setiap kesempatan ongkos
perlakuan risiko menjadi pertimbangan utama, seperti pada perlakuan risiko
yang mengancam reputasi organisasi serta risiko yang terkait dengan
kepatuhan organisasi terhadap hukum dan peraturan;
h. Buatlah rencana perlakuan risiko secara spesifik dan jelas. Seperti rencana
pada umumnya, rencana perlakuan risiko yang tidak spesifik dan tidak jelas
Adapun selain beberapa hal di atas, SNI ISO 31000 juga memberikan
arahan mengenai bagaimana dokumentasi proses manajemen risiko perlu
dilaksanakan dengan mempertimbangkan kebutuhan pembelajaran bagi
organisasi, kegunaannya dalam pengambilan keputusan manajemen, biaya
dan upaya yang dibutuhkan untuk membuat dan memelihara data, ketentuan
hukum dan peraturan terkait penyimpanan arsip, jangka waktu penyimpanan
dan pemeliharaan data, metode akses terhadap informasi beserta media
penyimpanannya, termasuk di dalamnya adalah sensitivitas informasi.
48
Sumber : SNI ISO Guide 73:2016 Manjemen Risiko-Kosakata
mengidentifikasi setiap pengendalian yang ada seperti fitur rancangan, orang,
proses dan sistem. Proses identifikasi risiko mencakup pengidentifikasian
penyebab dan sumber risiko (potensi bahaya dalam konteks kerusakan fisik),
kejadian, situasi atau keadaan yang bisa memiliki dampak material pada
sasaran dan sifat dampak itu. Adapun metode identifikasi risiko dapat
mencakupi:
METODE PENCARIAN
Suatu bentuk sederhana dari identifikasi risiko. Suatu
teknik yang menyediakan daftar ketidakpastian khas yang
Daftar periksa perlu dipertimbangkan. Pengguna mengacu pada daftar, Rendah Rendah Rendah Tidak
kode atau standar yang disusun sebelumnya.
suatu metode analisis induktif sederhana yang sasarannya
Analisis
untuk mengidentifikasi potensi bahaya dan situasi serta
pendahuluan Rendah Tinggi Sedang Tidak
kejadian berpotensi bahaya yang dapat menyebabkan
potensi bahaya
kerugian untuk suatu kegiatan, fasilitas atau sistem.
METODE PENDUKUNG
Suatu cara pengumpulan sekelompok besar ide dan
Wawancara dan evaluasi, pemeringkatan hal tersebut oleh suatu tim. Curah
curah pendapat pendapat dapat distimulasi dengan cara diminta atau Rendah Rendah Rendah Tidak
terstruktur teknik wawancara satu dengan satu dan satu dengan
banyak orang.
Penilaian kehandalan manusia (HRA) berkaitan dengan
Analisis
dampak manusia pada kinerja sistem dan dapat
Keandalan Sedang Sedang Sedang Ya
digunakan untuk mengevaluasi pengaruh kesalahan
Manusia (HRA)
manusia terhadap sistem.
136 | Manajemen Risiko Berbasis SNI ISO 31000
mengelolanya.
Suatu teknik yang dimulai dengan kejadian yang tidak
diinginkan (kejadian puncak) dan menentukan seluruh
jalan di mana kejadian tersebut dapat terjadi. Jalan
Analisis pohon tersebut ditampilkan berbentuk grafik dalam suatu
diagram pohon logis. Ketika pohon kesalahan telah Tinggi Tinggi Sedang Ya
kesalahan
dibangun, pertimbangan sebaiknya diberikan pada cara
untuk mengurangi dan mengeliminasi penyebab/sumber
potensial.
Menggunakan pemikiran induktif untuk menterjemahkan
Analisis pohon probabilitas kejadian awal yang berbeda menjadi hasil
Sedang Sedang Sedang Ya
kejadian keluaran yg mungkin.
Pemeliharaan
Suatu metode untuk mengidentifikasi kebijakan yang
yang terpusat
harus dilaksanakan untuk mengelola kegagalan sehingga
pada keandalan
dapat dicapai efisien dan efektif yang memerlukan Sedang Sedang Sedang Ya
keselamatan, ketersediaan dan keekonomisan operasi
untuk semua jenis peralatan.
Analisis dasi Suatu cara diagram sederhana yang menggambarkan dan Medium High Medium Yes
kupu-kupu menganalisis jalur risiko dari penyebab ke konsekuensi.
Hal ini dapat dianggap sebagai kombinasi dari pemikiran
analisis pohon kesalahan penyebab dari suatu kejadian
(diwakili oleh simpul pada dasi kupu-kupu) dan
konsekuensi analisis pohon kejadian
METODE STATISTIK
Analisis Markov Analisis Markov, terkadang disebut juga analisis ruang- High Low High Yes
keadaan, biasanya digunakan dalam analisis sistem
kompleks yang dapat diperbaiki dan dapat muncul dalam
berbagai keadaan, termasuk keadaan terdegradasi.
Analisis Bayesian Suatu prosedur statistik yang menggunakan data High Low High Yes
distribusi awal untuk menilai probabilitas hasil tertentu.
Analisis Bayesian bergantung pada akurasi distribusi awal
untuk mendeduksi suatu hasil yang akurat. Jejaring
keyakinan Bayesian memodelkan sebab-dan-efek dalam
berbagai ranah dengan menangkap hubungan
probabilistik dari masukan variabel untuk membuahkan
suatu hasil
Identifikasi dan kekritisan dari proses kunci bisnis, fungsi dan sumber-
sumber terkait serta interdependensi kunci yang ada untuk suatu
organisasi;
bagaimana kejadian yang mengganggu akan mempengaruhi
kapasitas dan kemampuan dalam pencapaian sasaran bisnis yang
kritis;
kapasitas dan kemampuan yang dibutuhkan untuk mengelola dampak
dari suatu gangguan dan memulihkan organisasi pada tingkat operasi
yang disetujui.
Masukan (input)
Masukan mencakupi:
49
Diringkaskan dari SNI ISO 31010 Teknik Penilaian Risiko
50
Susan Snedaker (2007), Business Continuity and Disaster Recovery Planning for
IT Professionals
142 | Manajemen Risiko Berbasis SNI ISO 31000
• sebuah tim yang melakukan analisis dan mengembangkan suatu
rencana;
• informasi tentang sasaran, lingkungan, operasi dan interdependensi
dari organisasi;
• rincian aktifitas dan operasi organisasi, termasuk proses, sumber
pendukung, hubungan dengan organisasi lain, pengaturan alih daya,
pemangku kepentingan;
• konsekuensi kerugian dari proses kritis finansial dan operasional;
• daftar pertanyaan yang disiapkan;
• daftar orang yang diwawancara dari area yang relevan dari organisasi
dan/atau pemangku kepentingan yang akan dihubungi;
Proses
BIA dapat dilakukan dengan menggunakan daftar pertanyaan,
wawancara, lokakarya terstruktur atau kombinasi dari ketiganya, untuk
memperoleh suatu pengertian dari proses kritis, efek kerugian dari proses
tersebut dan jangka waktu pemulihan yang diperlukan serta sumber-sumber
pendukung.
Keluaran (output)
Keluarannya adalah sebagai berikut:
• daftar prioritas dari proses kritis dan saling ketergantungannya;
• dampak finansial dan operasional yang terdokumentasikan dari suatu
proses kritis yang hilang;
• sumber daya pendukung yang dibutuhkan untuk proses kritis yang
teridentifikasi;
• kerangka waktu penghentian sementara untuk proses kritis dan
kerangka waktu pemulihan informasi teknologi yang terkait.
Contoh kasus
Pada sebuah bank bisa terjadi kondisi-kondisi gangguan pada kelangsungan
bisnis dan layanan yang tidak direncanakan serta berpotensi menimbulkan
Mengacu kepada RTO dan RPO tersebut, maka waktu kegagalan maksimal
yang dapat diterima oleh bank dapat didefinisikan dengan jelas dan menjadi
sasaran yang harus dicapai. Gambar 5.1 berikut ini memperlihatkan gambaran
mengenai RTO dan RPO yang harus dicapai.
Membangun suatu diagram sebab dan akibat dapat dilakukan bila ada
kebutuhan untuk:
51
Diringkaskan dari SNI ISO 31010 Teknik Penilaian Risiko
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 147
Mengidentifikasi kemungkinan akar masalah, alasan dasar, untuk
suatu efek, masalah atau kondisi tertentu;
Memilah dan menghubungkan beberapa interaksi di antara faktor
yang mempengaruhi suatu proses tertentu;
Menganalisis permasalahan yang ada sehingga tindakan korektif
dapat dilakukan.
Masukan (input)
Masukan pada analisis sebab-akibat bisa berasal dari keahlian dan
pengalaman dari peserta atau suatu model yang dikembangkan sebelumnya
yang telah digunakan di masa lalu.
Proses
Analisis sebab dan akibat harus dilakukan oleh suatu tim ahli yang
berpengetahuan dengan masalah yang membutuhkan resolusi. Langkah
dasar dalam melakukan suatu analisis sebab dan akibat adalah sebagai
berikut:
• Tetapkan efek untuk dianalisis dan tempatkan dalam suatu kotak.
Efeknya mungkin bisa positif (suatu sasaran) atau negatif (suatu
masalah) tergantung pada keadaannya;
Keluaran (output)
Keluaran dari suatu analisis sebab-dan-akibat adalah suatu diagram
tulang ikan atau diagram pohon yang menampilkan penyebab yang mungkin
dan lebih mungkin terjadi. Keluaran ini kemudian diverifikasi dan diuji secara
empiris sebelum rekomendasi dibuat.
Contoh kasus
Kesimpulan
5.3.3 Analisis Bahaya dan Titik Pengendalian Kritis (Hazard Analysis and
Critical Control Point)
Proses
Untuk memahami teknik penilaian risiko HACCP, bayangkan seorang
supir truk pengangkut es krim yang bertugas mengantarkan es krim dari
pabrik pembuatan es krim ke sebuah pasar swalayan. Tentunya, pabrik es
krim maupun pasar swalayan tidak menginginkan es krim tiba dalam kondisi
telah mencair, bukan? Situasi ini menimbulkan tantangan bagi supir truk
untuk memastikan ruang pendingin truk bekerja secara baik selama dalam
perjalanan di mana akan sangat merepotkan bila supir truk harus menepikan
truknya, katakanlah setiap 15 menit sekali sepanjang perjalanan, untuk
memeriksa apakah ruang pendingin truk yang dikemudikannya tetap bekerja
dan suhu di dalam ruangan tidak melebihi titik cair es krim. Menyikapi situasi
ini, supir truk dapat memasang alat pengukur suhu ruang pendingin yang
dapat dipantau dari kabin pengemudi. Dengan demikian, supir truk akan tahu
kapanpun ruang pendingin truknya mengalami gangguan dan terjadi
peningkatan suhu di dalam ruang pendingin melebihi titik cair es krim. Melalui
mekanisme ini, supir truk hanya perlu memastikan bahwa ruang pendingin
truknya berfungsi dengan baik, serta indikator suhu dalam ruang pendingin
yang dipantau melalui kabin pengemudi juga berfungsi dengan benar agar ia
52
Codex Alimentarius Commission, General Principles of Food Hygene CAC/RCP 1-
1969, Rev. 4, 2003.
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 153
dapat memantau suhu dalam ruang pendingin dari kabin pengemudi selama
di perjalanan, dan melakukan tindakan pencegahan lebih lanjut bila indikator
suhu ruang pendingin menunjukkan peningkatan suhu agar tidak sampai
melebihi titik cair es krim.
53
Ibid.
kritis HACCP54
54
Ibid.
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 155
Kesimpulan
Adapun menurut SNI ISO 31010, HACCP memiliki kekuatan dan keterbatasan
sebagai berikut:
Kekuatan:
Keterbatasan:
55
Diringkaskan dari ISO 31010 Teknik Penilaian Risiko
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 157
Identifikasikan lapisan-lapisan perlindungan independen (independent
protection layers, IPL)
Estimasikan probabilitas kegagalan tiap IPL
Frekuensi penyebab awal dikombinasikan dengan probabilitas
kegagalan tiap IPL dan probabilitas sebarang pengubah kondisional,
misalnya apakah seseorang akan hadir untuk terkena dampak, untuk
menentukan frekuensi kemunculan konsekuensi yang tidak diinginkan.
Urutan besaran digunakan untuk frekuensi dan pobabilitas.
Taraf risiko yang dikalkulasi dibandingkan dengan taraf toleransi risiko
untuk menentukan apakah apakah perlindungan lebih lanjut
dibutuhkan.
56
https://arshadahmad.wordpress.com/mkkh1243-process-safety-loss-prevention/
Emergency Response
Physical Protection
Automated Safely
Basic Controls
Design
57
http://www.gmigasandflame.com/sil_info_lopa.html
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 159
Risiko-risiko yag terkuantifikasi mungkin tidak ikut
diperhitungkanpada kegagalan cara yang umum;
LOPA tidak cocok untuk skenario-skenario yang amat rumit dengan
banyak pasangan penyebab-konsekuensi ataupun untuk skenaro-
skenario dengan konsekuensi-konsekuensi beragam yang
berpengaruh pada pemangku-pemangku kepentingan yang berbeda.
58
Diringkaskan dari ISO 31010 Teknik Penilaian Risiko
Contoh Kasus
Contoh Kasus
59
Diringkaskan dari ISO 31010 Teknik Penilaian Risiko
1
y A
-1 x 1
0
-1
Gambar 5.11 Lingkaran dan bujur sangkar dengan titik pusat berimpitan
60
Wikipedia menguraikan makna π dan cara mengaproksimasikannya dengan metode
simulasi Monte-Carlo. Tersedia juga daftar bahan bacaan yang mengulas topik itu.
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 165
(aproksimasi) nilai L/B dengan membagi banyaknya butir pasir dalam
lingkaran (L) dengan banyaknya pasir banyaknya butir pasir dalam bujur
sangkar (B).
Perhatikan titik A(x, y). Sesuai dengan Hukum Pythagoras, tiap titik
pada kurva lingkaran itu memenuhi persamaan x2 + y2 = r2. Oleh karena itu,
maka tiap pasangan (x, y) yang memenuhi x2 + y2 < 1 mewakili sebutir pasir
yang jatuh di dalam lingkaran. Sebaliknya bila pasangan (x, y) yang terambil
itu tidak memenuhi syarat x2 + y2 < 1, maka pasangan itu mewakili sebutir
pasir yang jatuh tidak di dalam lingkaran namun tetap di dalam bujur sangkar.
Perintahkanlah komputer untuk melakukan hal itu berulang-ulang untuk
memperoleh jumlah butir pasir, yaitu pasangan (x, y), yang cukup banyak.
Menurut contoh yang diilustrasikan dalam Wikipedia, bila proses itu diulang
hingga 30 ribu kali atau lebih, maka kita peroleh nilai yang cukup bagus untuk
mengaproksimasi nilai π, yaitu dengan menggunakan rumus π = 4 (L/B),
dengan L adalah banyaknya butir pasir di dalam lingkaran, sedangkan B
adalah banyaknya keseluruhan butir pasir yang ada di dalam bujur sangkar itu.
Agar lebih realistis, marilah kita bahas kasus berikut ini61. Misalkanlah
kita ingin mengestimasi waktu total untuk menyelesaikan suatu proyek.
Katakanlah ini proyek pembangunan gedung yang terdiri atas tiga bagian.
Bagian-bagian itu harus diselesaikan satu per satu secara berturutan, sehingga
jumlah keseluruhan waktu yang dibutuhkan untuk menyelesaikan proyek ini
adalah jumlah dari waktu-waktu yang dibutuhkan untuk menyelesaikan
bagian-bagian itu.
Total 14
Dalam kasus yang paling sederhana, kita buat estimasi tunggal untuk
tiap bagian dalam proyek tersebut. Model ini memberikan perkiraan waktu
total untuk penyelesaian proyek selama 14 bulan. Namun nilai ini didasarkan
pada tiga estimasi, masing-masing sebenarnya merupakan nilai yang tidak
kita ketahui. Mungkin nilai itu merupakan hasil proses estimasi yang baik,
namun model seperti ini tidak bisa banyak berguna untuk penilaian risiko.
61
Kasus ini disadur dari tulisan dalam laman www.riskamp.com.
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 167
Bagaimana memperkirakan kemungkinan bahwa proyek ini dapat
diselesaikan tepat waktu? Kita dapat menjawab pertanyaan itu dengan
sebuah model dengan menggunakan simulasi Monte-Carlo. Kita ciptakan tiga
estimasi untuk tiap bagian dalam proyek itu. Untuk tiap bagian, kita
perkirakan waktu minimum dan waktu maksimum berdasarkan pengalaman,
saran ahli, atau data historis.
62
Diringkaskan dari ISO 31010 Teknik Penilaian Risiko
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 171
(menggunakan laju perubahan di antara stituasi-situasi). Analisis Markov
dapat dikerjakan secara manual, namun lazimnya teknik ini diterapkan
dengan bantuan program komputer yang banyak beredar di pasaran.
Contoh Kasus
Dalam sebuah kota kecil hanya ada dua stasiun pengisian bahan bakar
umum (SPBU), yaitu sebuah milik perusahaan P dan sebuah lagi milik
perusahaan N. Asumsikanlah bahwa penduduk kota itu membeli bahan bakar
(bensin) sebulan sekali pada salah satu dari kedua SPBU itu. Berdasarkan hasil
survei yang dilakukan oleh perusahaan P, ternyata pembeli bensin di kota itu
tidak sepenuhnya loyal pada salah satu SPBU. Pembeli bersedia pindah ke
SPBU lain bila mereka mencermati iklan, kualitas layanan, dan faktor-faktor
lainnya. Hasil survei itu menyebutkan bahwa jika seseorang membeli bensin
dari perusahaan P pada suatu bulan, maka dia akan membeli lagi bensin di
perusahaan itu pada bulan berikutnya dengan probabilitas 0.60 dan akan
membeli di perusahaan N pada bulan berikutnya dengan probabilitas 0.40. Di
pihak lain, bila seseorang membeli bensin dari perusahaan N pada suatu
bulan, maka dia akan membeli lagi bensin di perusahaan itu pada bulan
berikutnya dengan probabilitas 0.80 dan akan membeli bensin di perusahaan
P pada bulan berikutnya dengan probabilitas 0.20. Distribusi probabilitas itu
disajikan dalam tabel berikut ini.
Bulan depan
Bulan ini
Perusahaan P Perusahaan N
Perusahaan P 0.60 0.40
Perusahaan N 0.20 0.80
63
Uraian pada bagian ini mengikuti tulisan yang dapat diunduh pada laman
https://wps.prenhall.com/wps/media/objects/14127/14466190/online_modules/
taylor_ims11_module_F.pdf
Informasi apa yang dapat dihasilkan dari analisis Markov? Yang paling
jelas adalah informasi tentang probabilitas terjadinya situasi pada suatu
periode di masa mendatang, mirip dengan informasi yang kita peroleh dari
pohon keputusan. Misalnya, pengelola SPBU ingin tahu probabilitas bahwa
60 36
60
60 40
24
20 8
40
80 32
40
Gambar 5.13 Probabilitas situasi mendatang bila seorang pelanggan
membeli bensin dari perusahaan P bulan ini
20 40
8
80 20 16
80 80 64
Gambar 5.14 Probabilitas situasi mendatang bila seorang pelanggan
membeli bensin dari perusahaan N bulan ini
Bulan ketiga
Situasi awal Jumlah
Perusahaan P Perusahaan N
Perusahaan P 0.44 0.56 1.00
Perusahaan N 0.28 0.72 1.00
64
Aljabar matriks lazimnya dibahas dalam mata kuliah Matematika Dasar tingkat
perguruan tinggi.
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 175
Nilai-nilai probabilitas dalam steady state menunjukkan tidak hanya
probabilitas pelanggan membeli bensin dari perusahaan tertentu di masa
depan dalam jangka panjang melainkan jugapersentase pelanggan yang akan
membeli dari perusahaan tertentu pada suatu bulan di masa mendatang.
Misalnya, di kota kecil itu ada 3000 pelanggan yang akan membeli bensin,
maka dalam jangka panjang dapat diekspektasikan jumlah pembeli di tiap
SPBU pada bulan tertentu, yaitu untuk P = (0.33) (3000) = 990 pelanggan, dan
untuk N = (0.67) (3000) = 2010 pelanggan.
Kesimpulan
65
Diringkaskan dari ISO 31010 Teknik Penilaian Risiko
Contoh kasus
66
Kasus-kasus ini disadur secara bebas dari catatan kuliah Introduction to Bayesian
Statistics dari Prof. Brendon J. Brewer, The University of Auckland. Kunjungilah
https://www.stat.auckland.ac.nz/~brewer/
Teknik Penilaian Risiko Berbasis SNI ISO/IEC 31010:2016 | 177
yaitu masing-masing adalah setengah. Perhatikan bahwa kejadian BB dan
BW bersifat mutually exclusive, artinya bersifat saling asing (tidak mungkin BB
dan BW terjadi bersamaan dua-duanya sekaligus), dan exhaustive, artinya
tidak mungkin ada kejadian lain di luar kedua kejadian itu, sehingga jumlah
probabilitas keduanya adalah satu.
Perhatikan baik-baik bahwa kolom ketiga pada Tabel 5.10 berasal dari
kolom ketiga Tabel 5.9 yang berhuruf cetak tebal. Jelaslah, penjumlahan ke
bawah kedua nilai pada kolom itu tidak punya makna, oleh karena itu baris
terakhir pada kolom itu pada Tabel 3 dibiarkan kosong. Kolom keempat berisi
nilai hasil kali Prior dengan Likelihood. Kolom ini sesungguhnya
menggambarkan distribusi probabilitas yang belum dinormalkan
(dinormalkan berarti diubah sedemikian rupa sehingga jumlah probabilitas
menjadi sama dengan satu, namun perbandingannya tidak berubah). Untuk
menormalkannya, maka tiap nilai probabilitas itu (0.50 dan 0.25)
dibandingkan secara relatif terhadap jumlah keduanya (0.75), dan hasilnya
diberikan pada kolom paling kanan, yakni kolom Posterior. Kolom Posterior
inilah hasil akhir dari estimasi Bayesian terhadap distribusi probabilitas pada
BB dan BW. Dengan kata lain, tujuan analisis Bayes adalah menghasilkan
distribusi probabilitas posterior.
P(H|D) =
H2 H1 H3
Telepon Nomor
Baik Benar
H4
Kita dapat menggeneralisasi Tabel 5.12 menjadi Tabel 5.13 berikut ini.
Distribusi awal berasal dari keyakinan subjektif sebelum mempertimbangkan
data hasil eksperimen. Nilai likelihood diperoleh berdasarkan penalaran, yaitu
bila Hi benar, berapakah probabilitas bahwa eksperimen menghasilkan data D.
Kolom h berisi nilai-nilai probabilitas sekatan-sekatan kejadian D, sehingga
bila dijumlahkan, maka hasilnya adalah P(D). Kolom paling kanan adalah hasil
akhir dari analisis Bayes, yakni distribusi probabilitas akhir (posterior), yakni
distribusi probabilitas yang telah mempertimbangkan data hasil eksperimen
D.
Instruksi
Gunakanlah analisis sebab-dan-akibat dalam rangka penilaian risiko
untuk soal dibawah ini. Gunakan diagram tulang ikan ataupun diagram pohon,
dan tentukan perlakuan risiko yang mungkin dilakukan. Bentuklah kelompok
kecil 3-5 orang dan pelajari berbagai pengetahuan tambahan yang dapat
memperkaya pemahaman yang terkait dengan contoh soal.
Soal
Sebuah koperasi di desa Kebon Naga memberikan fasilitas pinjaman
modal kerja untuk para petani di desa tersebut. Adapun dana yang
dipinjamkan kepada para petani berasal dari uang simpanan para anggota
koperasi dan juga pinjaman dari Bank Aman. Dan hasil keuntungan dari bagi
Instruksi
Kelas dibagi ke dalam beberapa kelompok untuk mengerjakan soal.
Masing-masing kelompok kemudian memaparkan hasil kerja kelompok dan
membandingkan kelengkapan hasil kerjanya dengan paparan kelompok
lainnya.
Soal
9 Kendaraan Tabrakan Beruntun di Tol Purbaleunyi67
67
http://news.liputan6.com/read/3117188/9-kendaraan-tabrakan-beruntun-di-tol-
purbaleunyi, sebagaimana dikutip pada tanggal 15 November 2017.
Menurut salah satu korban, tabrakan terjadi karena mobil sedan yang
melaju kencang di posisi paling depan tiba-tiba mengerem secara mendadak.
Hal itu mengakibatkan delapan kendaraan di belakangnya tidak bisa
menghindar sehingga terjadi tabrakan. Beruntung tabrakan ini tidak
menyebabkan korban jiwa. Petugas tol mengerahkan empat unit mobil Derek
untuk mengevakuasi seluruh kendaraan.
Dalam proses penerbitan buku ini, ISO merilis ISO 31000:2018 Risk
Management - Guidelines sebagai bentuk komitmen Technical Committee
262 ISO dalam melaksanakan tinjauan reguler 5 tahunan terhadap standar
ISO 31000 sesuai proses tinjauan sistematis yang diatur oleh ISO.
Audriene, D. (2017). Laba Adhi Karya Anjlok 32,4 Persen Sepanjang 2016.
<https://www.cnnindonesia.com/ekonomi/20170217110543-92-
194188/laba-adhi-karya-anjlok-324-persen-sepanjang-2016/>
Badan Standardisasi Nasional. (2016). SNI ISO Guide 73:2016 Manajemen Risiko
- Kosakata. (2016). Jakarta: Badan Standardisasi Nasional.
191
CAH. (2017). Menristekdikti: Masyarakat Masih Takut dengan Pembangkit
Listrik Tenaga Nuklir. <http://www.beritasatu.com/kesra/425414-
menristekdikti-masyarakat-masih-takut-dengan-pembangkit-listrik-
tenaga-nuklir.html>
Firmansyah, F. (2016). Satelit BRIsat mengorbit, Seperti Apa Target Bisnis BRI?
<https://bisnis.tempo.co/read/780823/satelit-brisat-mengorbit-
seperti-apa-target-bisnis-bri>
192
Pasopati, G. (2017). Dirut PT IBU Tersangka, Saham Tiga Pilar Melorot.
<https://www.cnnindonesia.com/ekonomi/20170802175039-92-
232006/ dirut-pt-ibu-tersangka-saham-tiga-pilar-melorot/>
The Geneva Association. (2017). The Geneva Papers on Risk and Insurance -
Issues and Practice. <https://www.genevaassociation.org/publications/
geneva-papers/geneva-papers-risk-and-insurance-issues-and-
practice>
193
The Organizational Process. <https://www.cliffsnotes.com/study-
guides/principles-of-management/creating-organizational-
structure/the-organizational-process>
Tim Viva. (2016). Pizza Hut Adukan Tempo dan BBC Indonesia ke Dewan Pers.
<http://www.viva.co.id/berita/nasional/822813-pizza-hut-adukan-
tempo-dan-bbc-indonesia-ke-dewan-pers>
194
INDEKS
195
196
INDEKS
KATA HALAMAN
A Analisis risiko 22, 111, 113, 114, 120, 121,
126, 127, 129, 132, 133, 134,
142, 143, 145, 176, 177, 186,
192, 199
Analisis Keputusan Multi Kriteria 147
Analisis Markov 146, 153, 186, 187, 188, 192
Analisis Monte-Carlo 154, 179
AS/NZS 5
B Bayesian Statistics 192
Benefit 16, 27
Bobot 133
Bow Tie Analysis 174, 201
Brainstorming 174
Business Impact Analysis 155
C Capital 5, 8, 12, 13
Cause and Effect Analysis 160, 192, 200
Check 22, 64, 65
Checklist 89, 90
Control 6, 23, 44, 153, 166, 173
COSO 6
Cost 26, 27
D Decision Tree 168
Delphi 143, 145
Deteksi 94, 152
Deviasi 112, 152
KATA HALAMAN
Disaster Recovery Plan 155, 159
Do 21, 64, 65
E Efektivitas 5, 23, 64, 65, 83, 90, 93, 95,
110, 111, 126, 130, 135, 137,
138, 139, 143, 172, 178, 202
Efisiensi 17, 18, 26, 30, 42, 83
Enterprise Risk Management 6
Entitas bisnis 14, 15
Evaluasi risiko 22, 111, 120, 121, 134, 143,
145, 166, 179
Event Tree Analysis 127
Eksposur 4, 5, 6, 7, 8, 9, 110, 111, 112,
113, 114, 117, 118, 119, 120,
126, 129, 130, 131, 133, 134,
135, 137, 138, 170
F Failure Mode and Effect Analysis 166
Fault Tree Analysis 173
Frekuensi 107, 109, 138, 171, 172
G Good Corporate Governance 82
H HACCP 146, 153, 166, 167, 168, 169,
170
Hazard Analysis and Critical 153, 166
Control Points
Hazard and Operability Studies 152
HAZOP 143, 146, 152, 166
I Identifikasi risiko 22, 102, 104, 105, 120, 121,
122, 125, 127, 142, 143, 145,
198
KATA HALAMAN
148, 152, 166, 186
Indikator 67, 74, 94, 95, 96, 112, 113,
129, 130, 131, 167, 170,
Inovasi 18
Input 156, 162, 175, 179, 181, 185,
192
Instalasi 127
Intangible 26, 27
Internalisasi 24, 91
Internal control 6
J Justifikasi 144
K Kebijakan manajemen risiko 67, 70, 71, 74, 75, 76, 80, 81,
82, 83, 86, 87, 95
Kerangka kerja manajemen risiko 21, 22, 24, 63, 64, 65, 66, 68,
69, 72, 76, 90, 91, 92, 93, 94,
95, 99, 103, 107
Ketidakpastian 4, 22, 30, 31, 44, 46, 50, 82, 97,
122, 123, 124, 125, 147, 148,
149, 150, 151, 152, 153, 154,
179, 186, 192
Konteks eksternal 33, 76, 77, 79, 94, 95, 107, 109,
Konteks internal 76, 78, 94, 107, 108, 117, 138
Kontrol 10, 84, 127
Korektif 73, 161
Kriteria risiko 35, 70, 72, 76, 94, 107, 108,
199
KATA HALAMAN
109, 110, 111, 120, 129, 130,
131, 134, 138
L Layers of Protection Analysis 171
LOPA 171
Loss of efficiency 42
M Metodologi 4, 13, 105, 143, 152
Mitigasi risiko 88, 165, 171
Monitoring 64
Multiple States 186
N Normalisasi 16, 196
O Objectives 42
Observasi 32, 57, 64
Operasional 6, 14, 15, 23, 24, 28, 29, 64, 72,
85, 86, 104, 105, 106, 122, 129,
131, 131, 132, 133, 134, 136,
156, 158, 160
Otoritas Jasa Keuangan 6, 8, 14, 74, 126
P Pemantauan risiko 86
PESTLE 78, 79
Plan 21, 64, 65
Probability 193, 197, 198
Profil risiko 6, 23, 33, 76, 86, 117, 132, 134,
139
Q Qualified 38
R Reliability-Centered Maintenance 166
Residual 126
Risiko reputasi 201
200
KATA HALAMAN
Risk Appetite 86
Risk Assesment Techniques 7, 20, 21
Risk Register 102, 121
Risk Tolerance 86
Root Cause Analysis 199
S Selera risiko 86, 115, 116, 117, 118, 120, 134,
135
Sneak Analysis 166
Stakeholder 45
Sumber risiko 109, 121, 142, 175
SWOT 78, 79
T Tata kelola 14, 15, 26, 27, 69, 71, 72, 78,
82, 84, 91, 97
U Unit 4, 42, 51, 52, 86, 89, 102, 139,
202
V Value-at-Risk 5
W Wewenang 22, 42, 80, 83, 86
Y Yield 42
Z Zona 17, 59
201
202
PROFIL PENULIS
203
204